En general, no es necesario definir exclusiones para Microsoft Defender Antivirus. Sin embargo, si es necesario, puede excluir archivos, carpetas, procesos y archivos abiertos por procesos de Microsoft Defender exámenes antivirus. Estos tipos de exclusiones se conocen como exclusiones personalizadas. En este artículo se describe cómo definir exclusiones personalizadas para Microsoft Defender Antivirus con Microsoft Intune e incluye vínculos a otros recursos para obtener más información.
Ocultar las exclusiones de antivirus de usuarios o administradores locales
Configuración
Descripción
Valor predeterminado
Configurar si las exclusiones son visibles para los administradores locales
-
Deshabilitado (valor predeterminado): si deshabilita o no configura esta configuración, los administradores locales podrán ver exclusiones en la aplicación Seguridad de Windows o a través de PowerShell.
-
Habilitado: si esta configuración está habilitada, los administradores locales ya no verán la lista de exclusión en Seguridad de Windows aplicación o a través de PowerShell. - Tenga en cuenta que la aplicación de esta configuración no quitará exclusiones, ya que impide que sean visibles para los administradores locales. Esto se refleja en Get-MpPreference.
Deshabilitada
Configuración de si las exclusiones son visibles para los usuarios locales
- Use esta configuración de directiva para configurar si las exclusiones son visibles para los administradores locales (HideExclusionsFromLocalAdmins).
Si usa Microsoft Intune para administrar Microsoft Defender Antivirus o Microsoft Defender para punto de conexión, use los procedimientos siguientes para definir exclusiones:
Si usa otra herramienta, como Configuration Manager o directiva de grupo, o desea obtener información más detallada sobre las exclusiones personalizadas, consulte estos artículos:
Elija Propiedades y, junto a Configuración, elija Editar.
Expanda Microsoft Defender Exclusiones antivirus y especifique las exclusiones.
Las extensiones excluidas son exclusiones que se definen por extensión de tipo de archivo. Estas extensiones se aplican a cualquier nombre de archivo que tenga la extensión definida sin la ruta de acceso o carpeta del archivo. Separe cada tipo de archivo de la lista, con un tipo de archivo por línea. Para obtener más información, vea ExcludedExtensions.
Las rutas de acceso excluidas son exclusiones que se definen por su ubicación (ruta de acceso). Estos tipos de exclusiones también se conocen como exclusiones de archivos y carpetas. Separe cada ruta de acceso de la lista, con una ruta de acceso por línea. Para obtener más información, vea ExcludedPaths.
Los procesos excluidos son exclusiones de archivos abiertos por determinados procesos. Separe cada tipo de archivo de la lista, con un tipo de archivo por línea. Estas exclusiones no son para los procesos reales. Para excluir procesos, puede usar exclusiones de archivos y carpetas. Para obtener más información, vea ExcludedProcesses.
Elija Revisar y guardar y, a continuación, elija Guardar.
Crear una nueva directiva antivirus con exclusiones en Intune
Seleccione una plataforma (como Windows 10, Windows 11 y Windows Server).
En Perfil, seleccione Microsoft Defender Exclusiones de Antivirus y, a continuación, elija Crear.
En el paso Crear perfil , especifique un nombre y una descripción para el perfil y, a continuación, elija Siguiente.
En la pestaña Configuración , especifique las exclusiones de antivirus y, a continuación, elija Siguiente.
Las extensiones excluidas son exclusiones que se definen por extensión de tipo de archivo. Estas extensiones se aplican a cualquier nombre de archivo que tenga la extensión definida sin la ruta de acceso o carpeta del archivo. Separe cada tipo de archivo de la lista con un | carácter. Por ejemplo, lib|obj. Para obtener más información, vea ExcludedExtensions.
Las rutas de acceso excluidas son exclusiones que se definen por su ubicación (ruta de acceso). Estos tipos de exclusiones también se conocen como exclusiones de archivos y carpetas. Separe cada ruta de acceso de la lista, con una ruta de acceso por línea. Para obtener más información, vea ExcludedPaths.
Los procesos excluidos son exclusiones de archivos abiertos por determinados procesos. Separe cada tipo de archivo de la lista, con un tipo de archivo por línea. Estas exclusiones no son para los procesos reales. Para excluir procesos, puede usar exclusiones de archivos y carpetas. Para obtener más información, vea ExcludedProcesses.
En la pestaña Etiquetas de ámbito, si usa etiquetas de ámbito en su organización, especifique las etiquetas de ámbito para la directiva que va a crear. (Consulte Etiquetas de ámbito).
En la pestaña Revisar y crear , revise la configuración y, a continuación, elija Crear.
Puntos importantes sobre exclusiones
La definición de exclusiones reduce la protección que ofrece Microsoft Defender Antivirus. Siempre debe evaluar los riesgos asociados a la implementación de exclusiones y solo debe excluir los archivos que esté seguro de que no son malintencionados.
Las exclusiones afectan directamente a la capacidad de Microsoft Defender Antivirus de bloquear, corregir o inspeccionar eventos relacionados con los archivos, carpetas o procesos que se agregan a la lista de exclusión. Las exclusiones personalizadas pueden afectar a las características que dependen directamente del motor antivirus (como la protección contra malware, los IOC de archivos y los IOC de certificado). Las exclusiones de procesos también afectan a las reglas de protección de red y reducción de superficie expuesta a ataques. En concreto, una exclusión de procesos en cualquier plataforma hace que las funcionalidades de protección de red y reducción de superficie expuesta a ataques no puedan inspeccionar el tráfico ni aplicar reglas para ese proceso específico.
Recuerde estos puntos importantes:
Las exclusiones son técnicamente una brecha de protección. Tenga en cuenta todas las opciones al definir exclusiones. Consulte Envíos, supresiones y exclusiones.
Revise las exclusiones periódicamente. Vuelva a comprobar y volver a aplicar las mitigaciones como parte del proceso de revisión.
Idealmente, evite definir exclusiones en un intento de ser proactivo. Por ejemplo, no excluya algo solo porque cree que podría ser un problema en el futuro. Use exclusiones solo para problemas específicos, como los relacionados con el rendimiento o la compatibilidad de aplicaciones que las exclusiones podrían mitigar.
Revise y audite los cambios en la lista de exclusiones. El equipo de seguridad debe conservar el contexto de por qué se agregó una exclusión determinada para evitar confusiones más adelante. El equipo de seguridad debe poder proporcionar respuestas específicas a preguntas sobre por qué existen exclusiones.
Auditoría de exclusiones de antivirus en sistemas Exchange
Muchas organizaciones excluyen los directorios de Exchange de los exámenes antivirus por motivos de rendimiento. Microsoft recomienda auditar Microsoft Defender exclusiones de Antivirus en sistemas Exchange y evaluar si las exclusiones se pueden quitar sin afectar al rendimiento en su entorno para garantizar el nivel más alto de protección. Las exclusiones se pueden administrar mediante directiva de grupo, PowerShell o herramientas de administración de sistemas como Microsoft Intune.
Para auditar las exclusiones Microsoft Defender Antivirus en un Exchange Server, ejecute el comando Get-MpPreference desde un símbolo del sistema de PowerShell con privilegios elevados. (Consulte Get-MpPreference).
Si no se pueden quitar exclusiones para los procesos y carpetas de Exchange, tenga en cuenta que la ejecución de un examen rápido en Microsoft Defender Antivirus examina los directorios y archivos de Exchange, independientemente de las exclusiones.
En este módulo se explora el uso de Microsoft Defender para punto de conexión para proporcionar protección adicional y supervisar dispositivos frente a amenazas.
Planee y ejecute una estrategia de implementación de puntos de conexión mediante elementos esenciales de la administración moderna, los enfoques de administración conjunta y la integración de Microsoft Intune.
Describe la funcionalidad de exclusiones de archivos y carpetas contextuales para Microsoft Defender Antivirus en Windows. Esta funcionalidad le permite ser más específico al definir en qué contexto Microsoft Defender Antivirus no debe examinar un archivo o carpeta, aplicando restricciones